Я работал в месте, где использовалась коммерческая система статического анализа кода под названием Coverity Prevent, и это было чертовски здорово! Это действительно сложный и умный.
Мы добавили в него около 18 ГБ как кода с открытым исходным кодом, так и проприетарного кода на C и C ++, и он проследил бы пути кода и быстро нашел бы тонкие ошибки, которые потребовались бы человеку навсегда, чтобы его отследить. Это было также замечательно в определении вещей, которые обычно были бы Heisenbugs.
Он работал каждые несколько дней с нашей кодовой базой, и хорошей особенностью было то, что мы могли сказать ему: «Это на самом деле не ошибка», и это помнит об этом в будущем.
Гоча, Coverity действительно дорогой. Они не публикуют расходы, но я чувствую, что для коммерческих проектов они начинаются с сотен тысяч долларов в год. Но это, вероятно, избавило нас от необходимости нанимать целую кучу разработчиков и специалистов по обеспечению качества, поэтому в целом наше руководство, похоже, считало, что это хорошая покупка.
Имея этот опыт, я смотрю довольно положительно на статический анализ кода.